- Partilhar artigo
- ...
Gabriela Teixeira, management consulting partner da PwC, é licenciada em Gestão pela Católica Porto Business, fez a sua carreira na PwC, onde está desde 1997. Refere que pelas solicitações recebidas, a preparação das empresas para o novo regulamento de protecção de dados (RGPD) iniciou-se no início do ano de 2017. "O que verificámos é que existiram três grandes ondas de adesão ao regulamento com, primeiro, o sector bancário e segurador, seguiu-se o consumo (com exposição ao cliente final) e, depois, os restantes (saúde, sector público, etc.)".
Quais são os riscos que as empresas correm com a não aplicação ou com a aplicação insuficiente do regime geral sobre protecção de dados, vulgo novo regulamento de protecção dos dados pessoais?
O maior risco é o de incumprimento com o regulamento. Contudo, uma análise mais detalhada permite identificar essencialmente três riscos: o risco financeiro decorrente das sanções aplicadas e indemnizações a pagar aos titulares de dados, o risco reputacional, associado por exemplo a uma fuga de informação e o risco operacional, dado que o modelo de governo para a gestão de privacidade implica uma complexidade acrescida para as organizações.
Em que é que se podem materializar?
O risco financeiro pode implicar, decorrente das sanções aplicadas, a desvalorização da organização (sobretudo se for cotada em bolsa) e as eventuais indemnizações a pagar aos titulares dos dados. Risco reputacional: Independentemente dos riscos acima referidos, uma organização pode ter a sua reputação afectada se for associada a uma fuga de informação. Este aspecto também pode ter um impacto inverso, pois uma organização pode-se valorizar se souber comunicar transparentemente ao titular dos dados que endereçou um conjunto vasto de procedimentos para garantir a privacidade da informação pessoal. Risco operacional: o modelo de governo a adoptar para a gestão da privacidade reveste-se de complexidade acrescida devido ao facto de propor uma nova realidade operacional às organizações. Há uma mudança de fundo nos procedimentos habituais que passam a estar focados essencialmente no exercício dos direitos dos titulares dos dados e numa auto-responsabilização das organizações em assegurar a privacidade da informação pessoal.
As empresas vão ser obrigadas a mudar os seus sistemas e a fazer uma nova recolha de dados? O sistema de fiscalização já está montado?
Não existe uma resposta fechada à questão da mudança de sistemas. Essencialmente as empresas só podem tomar a decisão de actualizar a sua arquitectura tecnológica após definirem a nova realidade de gestão da privacidade.
Esta nova realidade implica o desenho de um modelo de governo onde a política de privacidade exerce o papel principal.
É esta política que é a base para o desenho de outras políticas e procedimentos bem como dos novos mecanismos que passam a ter de gerir (nomeadamente, o catálogo de tratamento de dados pessoais).
Depois de conhecida esta nova realidade, é que se deve tomar a decisão de suportar esta gestão (ou parte dela) num ou mais sistemas de informação.
Relativamente à recolha de dados, as organizações devem sobretudo identificar a totalidade de tratamentos de dados pessoais que estão a fazer e garantir que, após o dia 25 de maio, têm as condições de licitude necessárias para continuarem a fazer aquele tratamento. Importa por isso identificar se aquele dado corresponde a um requisito legal (por exemplo: um NIF para a emissão de factura), ou se é necessário para aquela empresa prestar o serviço ao seu cliente. Para quaisquer outros casos, a empresa necessita de ter o consentimento do titular dos dados para a finalidade a que se destina, podendo implicar a solicitação junto do cliente dessa mesma evidência.
A fiscalização do RGPD caberá a entidades nomeadas para o efeito por cada Estado-membro, sabendo que a aplicação do regulamento no espaço europeu será gerida em conjunto por estas entidades.
Em Portugal, o Governo Português nomeou a CNPD como entidade fiscalizadora e já se conhece o possível enquadramento legal (contra-ordenacional e criminal) do regulamento. No entanto, o modo como essa fiscalização se irá proceder em concreto ainda é desconhecido, aguardando-se, com expectativa, os resultados das primeiras acções da CNPD.
Quais são as principais mudanças que este novo regulamento vai implicar nas organizações? As empresas portuguesas estão a preparar-se para esta mudança que é de "modelo de auto-regulação"?
Essencialmente, este regulamento introduz uma nova forma de operação nas organizações. Na base desta nova realidade operacional está o modelo de governo, a política de privacidade, todos os procedimentos que emanam desta, bem como a eventual adopção de sistemas de informação para suporte.
Contudo, o novo modelo de governo é tão mais robusto quanto o programa de gestão da mudança associado. Este programa suporta-se em dois grandes pilares: um plano de comunicação interno e externo; um plano de formação e de sensibilização que seja o agente principal da mudança operacional.
Quais são os riscos que as empresas correm com a não aplicação ou com a aplicação insuficiente do regime geral sobre protecção de dados, vulgo novo regulamento de protecção dos dados pessoais?
O maior risco é o de incumprimento com o regulamento. Contudo, uma análise mais detalhada permite identificar essencialmente três riscos: o risco financeiro decorrente das sanções aplicadas e indemnizações a pagar aos titulares de dados, o risco reputacional, associado por exemplo a uma fuga de informação e o risco operacional, dado que o modelo de governo para a gestão de privacidade implica uma complexidade acrescida para as organizações.
Em que é que se podem materializar?
O risco financeiro pode implicar, decorrente das sanções aplicadas, a desvalorização da organização (sobretudo se for cotada em bolsa) e as eventuais indemnizações a pagar aos titulares dos dados. Risco reputacional: Independentemente dos riscos acima referidos, uma organização pode ter a sua reputação afectada se for associada a uma fuga de informação. Este aspecto também pode ter um impacto inverso, pois uma organização pode-se valorizar se souber comunicar transparentemente ao titular dos dados que endereçou um conjunto vasto de procedimentos para garantir a privacidade da informação pessoal. Risco operacional: o modelo de governo a adoptar para a gestão da privacidade reveste-se de complexidade acrescida devido ao facto de propor uma nova realidade operacional às organizações. Há uma mudança de fundo nos procedimentos habituais que passam a estar focados essencialmente no exercício dos direitos dos titulares dos dados e numa auto-responsabilização das organizações em assegurar a privacidade da informação pessoal.
As empresas vão ser obrigadas a mudar os seus sistemas e a fazer uma nova recolha de dados? O sistema de fiscalização já está montado?
Não existe uma resposta fechada à questão da mudança de sistemas. Essencialmente as empresas só podem tomar a decisão de actualizar a sua arquitectura tecnológica após definirem a nova realidade de gestão da privacidade.
Esta nova realidade implica o desenho de um modelo de governo onde a política de privacidade exerce o papel principal.
É esta política que é a base para o desenho de outras políticas e procedimentos bem como dos novos mecanismos que passam a ter de gerir (nomeadamente, o catálogo de tratamento de dados pessoais).
Depois de conhecida esta nova realidade, é que se deve tomar a decisão de suportar esta gestão (ou parte dela) num ou mais sistemas de informação.
Relativamente à recolha de dados, as organizações devem sobretudo identificar a totalidade de tratamentos de dados pessoais que estão a fazer e garantir que, após o dia 25 de maio, têm as condições de licitude necessárias para continuarem a fazer aquele tratamento. Importa por isso identificar se aquele dado corresponde a um requisito legal (por exemplo: um NIF para a emissão de factura), ou se é necessário para aquela empresa prestar o serviço ao seu cliente. Para quaisquer outros casos, a empresa necessita de ter o consentimento do titular dos dados para a finalidade a que se destina, podendo implicar a solicitação junto do cliente dessa mesma evidência.
Essencialmente, este regulamento introduz uma nova forma de operação nas organizações. Gabriela Teixeira
Management consulting partner da PwC
Management consulting partner da PwC
A fiscalização do RGPD caberá a entidades nomeadas para o efeito por cada Estado-membro, sabendo que a aplicação do regulamento no espaço europeu será gerida em conjunto por estas entidades.
Em Portugal, o Governo Português nomeou a CNPD como entidade fiscalizadora e já se conhece o possível enquadramento legal (contra-ordenacional e criminal) do regulamento. No entanto, o modo como essa fiscalização se irá proceder em concreto ainda é desconhecido, aguardando-se, com expectativa, os resultados das primeiras acções da CNPD.
Quais são as principais mudanças que este novo regulamento vai implicar nas organizações? As empresas portuguesas estão a preparar-se para esta mudança que é de "modelo de auto-regulação"?
Essencialmente, este regulamento introduz uma nova forma de operação nas organizações. Na base desta nova realidade operacional está o modelo de governo, a política de privacidade, todos os procedimentos que emanam desta, bem como a eventual adopção de sistemas de informação para suporte.
Contudo, o novo modelo de governo é tão mais robusto quanto o programa de gestão da mudança associado. Este programa suporta-se em dois grandes pilares: um plano de comunicação interno e externo; um plano de formação e de sensibilização que seja o agente principal da mudança operacional.
